La normativa actual sobre protección de datos nos hace referencia a que, tanto el responsable como el encargado, han de cumplir ciertas exigencias legales, entre las que se incluye la necesidad de tener un análisis de riesgos.
Los responsables y encargados deben establecer medidas de seguridad, en base a los posibles riesgos detectados, mediante un previo análisis y, por tanto, su fin principal es el descubrimiento de los posibles riesgos asociados a un concreto tratamiento de los datos, antes de que estos se produzcan, para poder adoptar las medidas que garanticen la protección de los datos.
Para ello, hemos de seguir tres pasos para gestionar dichos riesgos consistentes en: identificar las amenazas, evaluar los riesgos y tratar los riesgos.
En primer lugar, hemos de identificar la amenaza, determinando el riesgo potencial que puede provocar un daño a los interesados; evaluar un riesgo, consiste en determinar el impacto de exposición a la amenaza, junto a la probabilidad de que esta ocurra y por último, tratar los riesgos, consiste en reducir esta exposición con medidas de control que nos permitan reducir la probabilidad y/o impacto de que estos se materialicen; por ello el análisis de riesgos nos permite establecer las medidas técnicas y organizativas que nos garanticen los derechos y libertades de las personas. La descripción de los tratamientos vinculados al análisis de riesgos, nos da la posibilidad de tener un conocimiento del ciclo de vida de los datos, de las actividades realizadas en nuestra entidad y de cualquier otro factor en la misma.
El análisis de riesgos nos facilitará determinar las medidas más eficaces y necesarias para reducir/evitar los riesgos vinculados a los tratamientos de datos de carácter personal. Realizado el análisis de riesgos, puede suceder que los tratamientos conlleven un alto riesgo para los derechos de las personas, pues bien, en este caso será necesario realizar una Evaluación de Impacto.
Determinado todo esto, vamos a exponer un ejemplo práctico del análisis de riesgos. Lo primero a señalar es el activo y como tal, un ordenador portátil. Posteriormente hemos de identificar la amenaza sobre ese ordenador portátil ya sea, la ejecución de un virus informático, así como la vulnerabilidad sobre ese activo y como tal la ausencia de antivirus. Una vez identificado el activo, la amenaza y la vulnerabilidad, hemos de valorar los tratamientos asociados a los activos, para así poder materializar el posible impacto. Determinado el impacto (bajo, medio, alto o muy alto), hemos de señalar la probabilidad (ya sea probable, poco probable, muy probable) de que se materialice la amenaza sobre el activo.Con estos factores concurrentes, ya podemos asociar el riesgo (alto, medio o bajo).Identificada la vulnerabilidad, vamos a vincular una medida de control a nuestro activo. Siguiendo nuestro ejemplo del ordenador portátil, como medida de control aplicable a la amenaza de ejecución de un virus informático, consiste en tener instalado en el ordenador portátil, un sistema antivirus.
Con todo ello, ya podemos generar nuestro análisis de riesgos y establecer las medidas de seguridad vinculadas a ese activo.